TP4 : Durcissement et Sécurisation d'un système

GNU/linux
Description : Cet atelier vous permettra de développer vos compétences en durcissement et
sécurité des systèmes Linux. En Identifiant les principales menaces de l'environnement Linux
et les différentes solutions qui s'y rapportent. Avec une Optimisation de la sécurité
du système en suivant un processus de durcissement qui va être aborder dans cet atelier qui
permet tout simplement de mettre des obstacles devant les attaques en interne et de les
rendre plus difficile et plus longues, en aucun elles vont garantir que vous êtes invulnérable.
Prérequis :

• Être familiarisé avec le système d'exploitation Linux. Avoir des connaissances de base
en sécurité des systèmes d'information.
• Administration système Linux
• Techniques d’hacking éthiques sous Linux

Partie 1 : Configuration matérielle et durcissement du noyau

1. Configuration matérielle

Avant de débuter toute action de durcissement de la sécurité, il est nécessaire de bien sécurisé la
partie matérielle. Pour cela on commence par paramétrer certaines options matérielles afin de durcir
le socle qui va servir à l’installation. Ce paramétrage doit être fait de préférence avant l’installation
pour que le système soit capable d’en tenir compte le plus tôt possible.

R1 - Activer le démarrage sécurisé UEFI : Il est recommandé d’activer la configuration du

démarrage sécurisé UEFI associée à la distribution.

Question 1 : Activer cette option dans votre UEFI, en expliquant le fonctionnement de Secure Boot ?
Question 2 : Activer aussi Le démarrage de confiance, ou Measured Boot en comparant aussi ce mode
avec Secure Boot ?
R2 - Configurer un mot de passe pour BIOS/UEFI
Après avoir configuré Secure Boot, Vous pouvez désactiver le démarrage par d'autres moyens que
votre disque dur dans le BIOS / UEFI, il est essentiel de définir un "mot de passe du BIOS" ou "mot de
passe UEFI"), sinon un adversaire peut simplement désactiver Secure Boot
Pour le protéger, accédez au BIOS / UEFI, dans la section Sécurité, vous pouvez ajouter le mot de
passe.
Question 3 : pour activer le Boot Secure ?
R3 - Configurer un mot de passe pour bootloader
Vous pouvez faire la même chose avec GRUB ou GNU GRUB 2, le protéger par mot de passe :

# grub-mkpasswd-pbkdf2

ENSA Marrakech © 2022 Pr. Omar ACHBAROU

Entrer le mot de passe pour GRUB que vous voulez et il sera encodé en SHA512. Copiez ensuite le mot
de passe crypté (celui qui apparaît dans « Votre PBKDF2 est ») pour l'utiliser plus tard :

# sudo nano /etc/grub.d/00_header

Créez un utilisateur au début et mettez le mot de passe crypté. Par exemple, si le mot de passe
précédemment copié était "grub.pbkdf2.sha512.10000.871D0...7CEFD0":
set superusers=”bob”
password_pbkdf2 bob grub.pbkdf2.sha512.10000.871D0...7CEFD0
Et enregistrez les modifications ...

Puis appliquer cette modification via la commande sudo update-grub

Question 4 : tester votre bootloader GRUP, en essayant de booter avec une clé USB ou un disque
dur ? Expliquer le résultat ?

Les rootkits (optionnel)

Question 5 : Expliquer le principe des rootkits ? Donner des exemples ?
Vous pouvez suivre ce tuto pour implémenter un rootkit sur votre machine Kali :
https://www.kali-linux.fr/hacking/linux-rootkits

2. Durcissement du noyau Unix

Le durcissement du noyau Linux consiste à accroître les mécanismes de protection du SE et à valider
la présence des mécanismes d’autoprotection du noyau, et des contre-mesures des vulnérabilités
logicielles ou matérielles.

Sécurité du noyau Sysctl

Exécuter la commande suivante et analyser le résultat ?
# sysctl --system

Pour modifier les paramétres de kernel linux il faut éditer le fichier :

$ sudo nano /etc/sysctl.conf

A quoi sert la commande suivante ?
$ sysctl --all

Question 6 : A l’aide de l’utilitaire sysctl, désactiver le chargement des modules noyau(R4) ?

Question 7 : Expliquer l’utilité de cette commande ?

R5 : Il est recommandé de charger le module de sécurité Yama lors du démarrage.

Question 8 : Activer ce module, en donnant la valeur ajoutée de ce module au processus de
système ?

Pour rendre vos connexions Internet Linux plus sécurisé, vous pouvez rediriger l'adresse IP et activer
la redirection IP puis interdire ICMP redirect en éditant le fichier /etc/sysctl

R6 : Aussi il est recommandé de désactiver la pile IPv6, Quand IPv6 n’est pas utilisé.

ENSA Marrakech © 2022 Pr. Omar ACHBAROU

R7 : Interdire l'ouverture des FIFOS et des fichiers "réguliers" qui ne sont pas la propriété de
l'utilisateur dans les dossiers en écriture pour tout le monde et Restreint la création de liens
symbolique et durs à des fichiers dont l'utilisateur est propriétaire.

Durcissement du noyau : GRSECURITY

Les instructions suivantes vous guideront à travers le processus de correction du noyau Linux avec
Grsecurity, la configuration de ses fonctionnalités, la compilation et l'installation du noyau corrigé.

Question 9 : Expliquer le rôle de Grecurity et comment fonctionne dans un système Linux ?

Pour Sécuriser un Kernel avec grsecurity, vous pouvez suivre ce tutoriel suivant ou autre :

https://www.noobunbox.net/serveur/securite/securiser-un-kernel-avec-grsecurity

En utilisant les derniers patch grsecurity disponible sur le site officiel de grsecurity.

ENSA Marrakech © 2022 Pr. Omar ACHBAROU